Staking:安全團隊：GenomesDAO遭攻擊因合約可被任意重復初始化設置關鍵參數

Polygon生態項目GenomesDAO遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊分析如下：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

安全團隊：另有1600萬枚USDC的新鑄幣進入流通:金色財經報道，派盾（PeckShield）監測顯示，另有約1600萬枚USDC的新鑄幣進入流通，此前今日上午已有約3000萬枚USDC的新鑄幣進入流通。[2022/11/28 21:06:42]

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

安全團隊：CUPID代幣合約遭遇閃電貸攻擊，攻擊者獲利約7.9萬美元:金色財經消息，據CertiK監測，BSC鏈上CUPID代幣合約遭遇閃電貸攻擊，CUPID代幣和VENUS代幣均下跌，攻擊者獲利78622美元。[2022/8/31 12:59:55]

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

安全團隊：約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash:金色財經消息，據派盾監測，約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash。

注：去年8月，DAO Maker遭受黑客攻擊，被盜價值700萬美元的USDC。[2022/6/4 4:02:12]

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。

Tags：STASTAKKINStakingBrave Power CrystalEthereum StakeKing Shibastaking ETH

酷幣交易所